Nowa, już wykorzystywana luka w IE

Luka występuje w implementacji protokołu ITS używanego m.in. do wyświetlania skompilowanych plików pomocy .chm. Zagrożeni są użytkownicy Internet Eksplorera we wszystkich systemach Windows. UWAGA! Nie istnieje jeszcze łata na tę lukę, więc pomóc może tylko zmiana niektórych ustawień systemowych.

Możliwe jest wykorzystanie tej luki do uruchomienia dowolnego pliku z prawami użytkownika lokalnego. Można to zrobić zarówno za pomocą odpowiednio spreparowanego maila, jak również na stronie www. Lukę tę wykorzystują już nowe odmiany wirusów i trojanów: Ibiza trojan, warianty W32/Bugbear, oraz BloodHound.Exploit.6

Pełne zabezpieczenie się przed wykorzystaniem tej luki nie jest jeszcze możliwe. Można jedynie ograniczyć jej implikacje przez wyłączenie protokołu ITS. Mogą jednak, wówczas, przestać działać niektóre pliki pomocy i narażone może być, w znacznym stopniu funkcjonowanie systemu. Najlepszą ochroną będzie więc, przykładanie jak największej uwagi przy otwieraniu plików i uważne śledzenie skąd przychodzą adresowane do nas maile.

Ustawienia, które można zmienić, aby zmniejszyć ryzyko infekcji:
– zmiana nazwy lub usunięcie następującego klucza w rejestrze :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\{ms-its,ms-itss,its,mk}

UWAGA!

Najlepiej skopiować sobie ten klucz do pliku (eksport), aby po opublikowaniu przez producenta łaty móc go przywrócić.

Inne działania które mogą zmniejszyć ryzyko wykorzystania dziury:
– wyłączenie skryptów i kontrolek ActiveX we wszystkich strefach – zarowno Internetowej jak i lokalnej
– nie uruchamianie nieznanych linków – zarówno znalezionych w Internecie, jak i otrzymanych pocztą (to zalecenie powtarzamy od dawna i nadal jest bardzo aktualne)
– jak najczęstsze uaktualnianie bazy programów antywirusowych – mogą one uchronić nas przed wirusami wykorzystującymi tę lukę, ale nie przed bezpośrednim użyciem np. na spreparowanej stronie

Więcej informacji:
http://www.us-cert.gov/cas/techalerts/TA04-099A.html

Źródło informacji: CERT Polska